Kategorie: Aufsichtsbehördliche Maßnahmen

Guidelines des EDSA zur Berechnung von Bußgeldern

20. Mai 2022

Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Aktuell befinden sich diese noch in der „Public Consultation“-Phase. Ziel sei es, die Methodik bei der Berechnung der Bußgelder zu vereinheitlichen.

Die Leitlinien richten sich an die Aufsichtsbehörden. Diese sollen demnach die Bußgelder künftig über eine standardisierte, fünfstufige Methodik berechnen. Sie ergänzen somit die Leitlinien für die Anwendung und Festsetzung von Bußgeldern (2016/679 (WP253)), die sich auf die Umstände konzentrieren, unter denen eine Geldbuße überhaupt verhängt werden kann.

Grundsätzlich liegt die Berechnung der Höhe der Geldbuße im Ermessen der Aufsichtsbehörde, vorbehaltlich der Vorschriften der Datenschutz-Grundverordnung (DSGVO). In diesem Zusammenhang schreibt die DSGVO vor, dass die Höhe der Geldbuße wirksam, verhältnismäßig und abschreckend sein muss (Art. 83 Abs. 1 DSGVO). Zusätzlich müssen die Aufsichtsbehörden bei der Festsetzung der Höhe der Geldbuße eine Liste von Umständen berücksichtigen, die sich auf bestimmte Merkmale des Verstoßes (die Schwere) oder des Verursachers bezieht (Art. 83 Abs. 2 DSGVO).

Einstufung der Schwere des Verstoßes

Der EDSA erstellte eine aus fünf Schritten bestehende Methodik für die Berechnung von Bußgeldern für Verstöße gegen die DSGVO. Grundlage für die Höhe der Strafen ist laut der Verordnung der Umsatz des betroffenen Unternehmens.

  • Zunächst müssten die relevanten Verarbeitungsprozesse ermittelt und die Schwere des Verstoßes bewertet werden (Kapitel 3).
  • Anschließend müsste der Ausgangspunkt für die weitere Berechnung der Höhe der Geldbuße festgelegt werden (Kapitel 4). Dies erfolge durch die Einstufung des Verstoßes, gemessen an den vorliegenden DSGVO-Verstößen, der Schwere des Verstoßes im Lichte der Umstände des Falles sowie an der Bewertung des Umsatzes des Unternehmens.
  • Der dritte Schritt beschreibt die Bewertung der belastenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen sowie die Erhöhung oder Herabsetzung der Geldbuße (Kapitel 5).
  • Schritt vier erläutert dann die Ermittlung der einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße. Die in den vorhergehenden oder nachfolgenden Schritten angewandten Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten (Kapitel 6).
  • Im letzten Schritt sei zu prüfen, ob der berechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt. Die Geldbuße könne dann noch entsprechend angepasst werden (Kapitel 7), jedoch ohne den jeweiligen gesetzlichen Höchstbetrag zu überschreiten.

Hohe Geldbußen möglich

Ausschlaggebend ist somit der Ausgangsbetrag. Dieser bildet den Maßstab für die Berechnung. Die Verstöße lassen sich demnach in drei Kategorien einordnen.

  • Verstöße von geringer Schwere:  Ausgangsbetrag zwischen 0 und 10 Prozent des geltenden gesetzlichen Höchstbetrags
  • Verstöße mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des geltenden gesetzlichen Höchstbetrags
  • Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des geltenden gesetzlichen Höchstbetrags

So könnte ein mittelschwerer Verstoß theoretisch schon früh zu sehr empfindlichen Geldbußen führen. Bei allen vorgenannten Schritten sei jedoch zu berücksichtigen, dass die Berechnung einer Geldbuße keine rein mathematische Angelegenheit darstelle. Vielmehr seien die Umstände des konkreten Falles ausschlaggebend für die endgültige Höhe. In den Guidelines befinden sich auch einige Beispiele mit Fällen zur Bußgeldbemessung.

Darüber hinaus werde man die Leitlinien und die darin vorgeschlagene Methodik fortlaufend überprüfen.

Adresshandel kurz vor dem Aus

11. Mai 2022

Ob Wahlwerbung oder Rabattcodes – die eigenen Adressdaten und Daten zu Vorlieben haben die werbenden Unternehmen mit großer Wahrscheinlichkeit von Adresshändlern. Sie tragen Daten zusammen, verkaufen sie an ihre Werbekunden und nehmen so eine integrale Rolle im Direktmarketing ein. Mehr als tausend Adresshändler soll es allein in Deutschland geben, sagt der Deutsche Dialogmarketing-Verband (DDV). Deren Praxis wird nun gefährdet von einem Vorhaben der Datenschutzbeauftragten des Bundes und der Länder, die darin einen Verstoß gegen die DSGVO sehen.

Kritik aus datenschutzrechtlicher Sicht

Bislang konnte sich die Praxis auf ein „berechtigtes Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen, was nun laut einigen Datenschutzbeauftragten nicht mehr ausreichen soll. Dieser Gedanke ist nicht neu (wir berichteten ausführlich hier). Stattdessen brauche es eine Einwilligung, die informiert und freiwillig abgegeben worden sein muss. Der Verbraucher müsste also im Vorhinein darüber informiert werden, was mit seinen Daten passiert, wer der Empfänger welcher Daten ist und was wiederum beim Empfänger mit seinen Daten geschieht. Diese unaufgeforderte Aufklärung vorab ist für den Adresshändler de facto kaum umsetzbar. Die Aufklärungspflicht könnte damit eine echte Hürde für die gesamte Branche werden.

Ausblick

Diese Ansicht vertreten auf Anfrage der Süddeutschen Zeitung aktuell die Datenschutzbeauftragten von zehn Bundesländern. Man arbeite an einem Beschluss, um hier bundesweit einheitlich aufzutreten. Quer stellt sich allerdings vor allem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, die das Stützen auf ein berechtigtes Interesse der Adresshändler an den Daten weiterhin für zulässig hält. Hierbei ist allerdings zu beachten, dass in Nordrhein-Westfalen mit Bertelsmann und der Deutschen Post immerhin zwei der größten Branchenvertreter ihren Sitz haben.

Ein Beschluss der Datenschutzkonferenz wird wohl noch etwas auf sich warten lassen. Aufgrund der großen Mehrheit der Datenschutzbehörden, die diese Ansicht vertreten, ist es jedoch wahrscheinlich, dass sich die Rechtslage für Adresshändler und damit für die gesamte Branche schon bald empfindlich spürbar verändert.

Datenschutzkonferenz (DSK) fordert ein Beschäftigtendatenschutzgesetz

6. Mai 2022

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich „dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen“ ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).

Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.“

Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.

Videoüberwachung im Fitnessstudio unzulässig

Das Verwaltungsgericht (VG) Ansbach hat mit Urteil vom 23.02.2022 entschieden, dass die Videoüberwachung eines Fitnessstudios unzulässig ist.

Die Klägerin betreibt ein Fitnessstudio, welches drei Trainingsräume hat. Alle Trainingsräume wurden auf der gesamten Fläche durchgehend während der Öffnungszeiten videoüberwacht (ohne Tonaufzeichnung). Die Aufzeichnungen wurden 48 Stunden lang gespeichert und anschließend gelöscht. Hinweisschilder zur Videoüberwachung befanden sich auf Innen- und Außenseite der Eingangstür.

Ein Kunde des Fitnessstudios wandte sich an die zuständige Datenschutzbehörde, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und schilderte die Videoüberwachung. Daraufhin sandte das BayLDA einen Fragebogen an das Fitnessstudio. Der Betreiber des Fitnessstudios erklärte die Überwachung damit, dass sie der Prävention und Aufklärung von Diebstählen und Sachbeschädigungen, welche es in der Vergangenheit mehrfach gegeben habe, diene. Das BayLDA sah jedoch keine Notwendigkeit, dafür die gesamte Trainingsfläche zu überwachen. Vielmehr würde bei einer Interessenabwägung der Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) der Trainierenden, das Interesse des Betreibers überwiegen. Kernpunkt der Streitigkeit ist die Frage, ob die umfassende Videoüberwachung auf eine Rechtsgrundlage der DSGVO gestützt werden kann. Das BayLDA geht nicht davon aus und ordnete deswegen an, die Videoüberwachung auf die konkret gefährdeten Bereiche zu beschränken, z.B. die Spiegelwände. Gegen diese Anordnung erhob der Fitnessstudiobetreiber Klage.

Dieser Klage hat das VG Ansbach aber nicht stattgegeben. Das Gericht geht davon aus, dass die Anordnung des BayLDA rechtmäßig war und die Videoüberwachung beschränkt werden muss. Es schließt sich der Ansicht des BayLDA an, dass keine Rechtsgrundlage für die Überwachung vorliege. So lag insbesondere keine Einwilligung der Betroffenen (Art. 6 Abs. 1 a) DSGVO) vor, die Videoüberwachung war nicht für die Erfüllung des Vertrages notwendig (Art. 6 Abs. 1 b) Alt. 1 DSGVO) und der Betreiber kann sich auch nicht auf ein überwiegendes, berechtigtes Interesse (Art. 6 Abs. 1 f) Alt. 1 DSGVO) stützen. Um Straftaten zu verhindern, muss der Betreiber zunächst auf mildere Mittel zurückgreifen, z.B. auf eine Aufstockung des Personals.

Aus für Corona-Datenerfassung auch in Hamburg

28. April 2022

Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.

In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des „digitalen Frühjahrsputzes“ zu tun sei.

Baden-Württemberg: Schulen müssen bis zum Sommer Microsoft 365 ersetzen

26. April 2022

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Stefan Brink erwartet von Schulen, dass sie Schüler:innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten.

Microsoft 365 ist ein Online- bzw. Cloud-Dienst des Anbieters Microsoft. Spätestens ab dem kommenden Schuljahr sei die Nutzung von MS 365 an Schulen zu beenden. Andernfalls müssten die Schulen den datenschutzkonformen Betrieb des Cloud-Angebots eindeutig nachweisen können.

Pilotprojekt gescheitert

Die Entscheidung deutete sich schon länger an, der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen längeren Zeitraum in einem umfangreichen Pilotprojekt zum möglichen Einsatz von MS 365. Auch eine eigens modifizierte Version von Microsofts Programmpaket konnte Baden-Württembergs Datenschutzbeauftragten nicht überzeugen. Im Zuge dessen gab es weitere Sicherheitsfunktionen und Accounts ausschließlich für Lehrkräfte, nicht jedoch für Schüler:innen. Trotz der funktionell eingeschränkten und möglichst datenschutzkonformen Konfiguration von MS 365 sei eine datenschutzkonforme Nutzung kaum möglich. Nach dem Test kam Stefan Brink zu dem Ergebnis, dass die Schulen keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den Vereinigten Staaten hätten. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet würden. Auch könne man nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert sei. Die Ergebnisse der Prüfung sind hier abrufbar.

Alternativen vorhanden

Man werde in Kürze auf etwa 40 Schulen zugehen, die den Cloud-Dienst Microsoft 365 oder MS Teams verwenden und sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren. Darüber hinaus werde man die Schulen um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Zusammen mit dem Kultusministerium sollen die Schulen dann bei der Implementierung neuer Systeme unterstützt werden. Der Landesbeauftragte für den Datenschutz verweist dabei auf bereits erprobte Alternativen. Dazu gehören beispielsweise Moodle, itslearning oder das Web-Konferenzsystem BigBlueButton.

Umstieg kaum zu vermeiden

Sollten die Schulen dennoch den Cloud-Dienst weiter nutzen möchten, so müssten sie begründen, wie sie den datenschutzkonformen Betrieb garantieren und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung eindeutig nachweisen könnten. Dabei würde insbesondere die Drittstaatenübermittlung in die Vereinigten Staaten die Schulen vor größere Probleme stellen.

Corona-Daten von Mitarbeitern sollen spätestens jetzt gelöscht werden

21. April 2022

In einer Pressemitteilung hat die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel Unternehmen und öffentliche Stellen aufgefordert die aufgrund der Maßnahmen zur Pandemiebekämpfung verarbeiteten Corona-Daten dringend zu löschen.

Die Unternehmen und öffentlichen Stellen sollten in einem ersten Schritt prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Sollten diese Maßnahmen und damit der Zweck der Corona-Datenverarbeitung weggefallen sein, müssten diese Daten dringend gelöscht werden.

Als Beispiel nannte die Landesbeauftragte Corona-Daten, welche im Rahmen der Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle verarbeitet wurden. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen.“ teilte Thiel mit.

Weiterhin kündigte die Landesbeauftragte an, die Einhaltung des Datenschutzes durch unangekündigte Kontrollen bei den Verantwortlichen zu überprüfen.

Keine Kundendaten für private Zwecke

20. April 2022

In seinem Tätigkeitsbericht für das Jahr 2021 informierte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) über den Missbrauch von Kundendaten zu privaten Zwecken.

Hintergrund waren die Beschwerden mehrerer Kunden, die sich an das ULD gewendet hatten. Sie wiesen darauf hin, dass verschiedene Unternehmen ihre personenbezogenen Daten nicht nur zu den vorgesehenen geschäftlichen Zwecken verwendeten. So kam es vor, dass ein Kunde beispielsweise in einem Kontaktformular seine Handynummer angab, um leichter erreichbar zu sein. Einige Mitarbeiter nutzten die angegebenen Handynummern allerdings nicht ausschließlich für geschäftliche Zwecke. Stattdessen kontaktierten sie die Kunden, um ein persönliches Kennenlernen oder privates Treffen zu arrangieren.

Beim Umgang mit Kundendaten sind die datenschutzrechtlichen Vorgaben der DSGVO zu beachten. Insbesondere sind die Grundsätze der „Integrität und Vertraulichkeit“ nach Art. 5 Abs. 1 lit. f DSGVO beachtet. Demzufolge müssen personenbezogene Daten in einer Weise verarbeitet werden, „(…) die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich [dem] Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (…)“. Laut dem ULD hat das Unternehmen die Aufgabe geeignete technische und organisatorische Maßnahmen zu ergreifen, um diesen Grundsatz bei der Datenverarbeitung zu garantieren. Dazu zählt es Mitarbeiterschulungen durchzuführen, die über den datenschutzkonformen Umgang mit Kundendaten informieren.

Das ULD stellte fest, dass in den zur Beschwerde gebrachten Fällen eine unrechtmäßige Verarbeitung personenbezogener Daten stattfand. Daraufhin erteilte sie den Verantwortlichen einen Hinweis nach Art. 58 Abs. 1 lit. d DSGVO. Obwohl die betroffenen Unternehmen ihre Mitarbeiter bereits vor den Missbräuchen im Datenschutzrecht geschult hatten, fand eine erneute Sensibilisierung der Mitarbeiter statt. Als weitere Sanktion verhängten einige Unternehmen arbeitsrechtliche Konsequenzen. 

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

8. April 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.

Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

„Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden“, erklärte das BSI.

Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).

Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.

Deutschland, Griechenland, Finnland und Schweden müssen bei Datenschutz nachbessern

7. April 2022

In ihren Entscheidungen über Vertragsverletzungsverfahren hat die Europäische Kommission die Länder Deutschland, Griechenland, Finnland und Schweden dazu aufgefordert ihren Meldepflichten aus der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zum Datenschutz bei der Strafverfolgung nachzukommen.

Aus der Entscheidung der Kommission geht hervor, dass Deutschland noch keine Maßnahmen zur Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung in Bezug auf die Tätigkeiten der Bundespolizei mitgeteilt habe. Auch Griechenland habe einige Bestimmungen nicht ordnungsgemäß umgesetzt. Betroffen sind hier insbesondere Festsetzungen hinsichtlich des Anwendungsbereichs der Richtlinie zum Datenschutz bei der Strafverfolgung und die Fristen für die Speicherung von Daten. Neben Deutschland und Griechenland bemängelte die Kommission ebenfalls die mangelhafte Umsetzung datenschutzrechtlicher Verpflichtungen in den Ländern Finnland und Schweden. Im Rahmen der Durchsetzung von Betroffenenrechten wären die Länder in bestimmten Fällen dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht nachgekommen.

Die Länder haben nun innerhalb von zwei Monaten die Möglichkeit auf das Schreiben zu reagieren und die für das Abstellen der von der Kommission festgestellten Verstöße notwendigen Maßnahmen zu ergreifen. Kommen die Länder diesem Erfordernis nicht nach, so kann die Kommission eine begründete Stellungnahme übermitteln.

1 2 3 28